Ce soirs Borsalino, le serveur de fedora-fr, a fait une montée en charge impressionnante (85) due aux services httpd et mysqld. Une charge m’obligeant à couper le serveur web pendant 10 minutes le temps d’analyser la situation. Une fois les logs d’erreur ( »errors.log ») contrôlés, j’ai du me rendre à l’évidence : je code rudement bien et il n’y a rien de ce côté là (Qui a dit que je me jeté des fleurs ;-)).
Mes soupçons ce sont alors portés sur les logs d’accès (acces.log) :
xxx.xxx.xxx.xxx - - [11/Nov/2006:08:56:44 +0100] "GET /index.php?title=Special:Recentchanges&%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=atom&%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=atom&%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=rss&%3Bamp%3Bamp%3Bamp%3Bamp%3Bfeed=atom&%3Bamp%3Bamp%3Bamp%3Bfeed=rss&%3Bamp%3Bamp%3Bfeed=atom&%3Bamp%3Bfeed=atom&%3Bfeed=rss&feed=rss HTTP/1.1" 200 60626 "-" "Mozilla/5.0 (compatible; Yoono; http://www.yoono.com"
Après investigation, il apparaîtrait que ce soit une attaque exploitant une faille, corrigée sur notre version, de MediaWiki. D’après le whois, les IPs viendraient d’une société spécialisée dans la sécurité informatique (un comble !) et d’une résidence universitaire française… On peut supposer qu’on est en présence, soit d’étudiants s’amusant un samedi soir, soit de machines sous Windows transformées en zombies et attaquant à tout-va !
root@borsalino ~> cat access.log |grep ":Recentchanges&%3Bamp%3Bamp%3Bamp%3Bamp" --count 6498
Sachant que je grep un log qui est en rotation journalière… Ca fait quand même beaucoup ! La sanction :
iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP
Et ce, afin de bloquer l’accès à la machine à cette IP et aux autres… Merci à SpeedFire du chan #fedora-fr pour son cour sur iptables.